关键信息 漏洞名称: FaceSentry Access Control System 6.4.8 Remote Command Injection 漏洞ID: ZSL-2019-5523 类型: Local/Remote 影响: System Access 风险等级: 5/5 发布日期: 30.06.2019 漏洞描述 FaceSentry 5AN 作为一款前沿的智能身份管理设备,允许使用生物面部识别,接触式智能卡,员工ID或QR码进行入口管理。其QR码升级功能让使用者在离开办公室时仍可通过网络管理工具对访客分享eKey,且使用者可监控所有活动。FaceSentry 5AN通过标准PoE供电,仅用6颗螺丝即可在几分钟内完成安装,是一款企业级的应用,适用于门禁控制和考勤管理。 FaceSentry存在经过身份认证后的OS命令注入漏洞,这可以通过使用默认凭证在'pingTest'和'tcpPortTest'PHP脚本中的'strInIP'和'strInPort'参数向根用户注入和执行任意命令。 影响版本 Firmware 6.4.8 build 264 (Algorithm A16) Firmware 5.7.2 build 568 (Algorithm A14) Firmware 5.7.0 build 539 (Algorithm A14) 测试环境 Linux 4.14.18-sunxi (armv7l) Ubuntu 16.04.4 LTS (Xenial Xerus) Linux 3.4.113-sun8i (armv7l) PHP 7.0.30-0ubuntu0.16.04.1 php 7.0.22-0ubuntu0.16.04.1 lightpd/1.4.35 Armbian 5.38 Sunxi Linux (sun8i generation) Orange Pi PC+ 供应商状态 [28.05.2019] 漏洞发现。 [29.05.2019] 与供应商联系。 [12.06.2019] 供应商未作回应。 [13.06.2019] 再次与供应商联系。 [27.06.2019] 供应商再次未做回应。 [28.06.2019] 又与供应商联系。 [29.06.2019] 仍未得到供应商的回应。 [30.06.2019] 公开发布安全建议 供应商 iWT Ltd. - PoC 发现者 漏洞由Gjoko Krstic发现 - 参考文献 [1] [2] [3] [4]